设置 Android Enterprise 公司拥有的工作配置文件设备的 Intune 注册

  • 项目

Android Enterprise 公司拥有的工作配置文件设备是供公司和个人使用的单用户设备。

最终用户可以将其工作和个人数据分开,并保证个人数据和应用程序保持私密。 管理员可以控制整个设备的某些设置和功能,包括:

  • 设置设备密码的要求
  • 控制蓝牙和数据漫游
  • 配置恢复出厂设置保护

Intune 可帮助将应用和设置部署到 Android Enterprise 公司拥有的工作配置文件设备。 有关 Android Enterprise 的特定详细信息,请参阅 Android Enterprise 要求

设备要求

设备必须满足以下要求才能作为 Android Enterprise 公司拥有的工作配置文件设备进行托管:

  • Android OS 版本 8.0 及更高版本。
  • 设备必须运行具有 Google Mobile Services (GMS) 连接性的 Android 发行版。 设备必须有可用的 GMS,并且必须能连接到 GMS。

设置 Android Enterprise 公司拥有的工作配置文件设备管理

若要设置 Android Enterprise 公司拥有的工作配置文件设备,请执行以下步骤:

  1. 若准备管理移动设备,必须将移动设备管理 (MDM) 机构设置为“Microsoft Intune以获取说明。 第一次设置 Intune 以进行移动设备管理时,只需设置一次此项。
  2. 将 Intune 租户帐户连接到托管的 Google Play 帐户
  3. 创建注册配置文件
  4. 创建设备组
  5. 注册公司拥有的工作配置文件设备

创建注册配置文件

注意

  • 公司拥有的工作配置文件设备的令牌不会自动过期。 如果管理员决定撤销令牌,则与其相关联的配置文件将不会显示在“设备”>“Android”>“Android 注册”>“公司拥有的工作配置文件设备”中。 若要查看与活动令牌和非活动令牌关联的所有配置文件,请单击“筛选”,然后选中“活动”和“非活动”策略状态对应的框。
  • 对于公司拥有的工作配置文件 (COPE) 设备,仅在运行 Android 8-10 的设备上支持 afw#setup 注册方法和近场通信 (NFC) 注册方法。 这两种方法在 Android 11 上不可用。 有关详细信息,请参阅 此处的 Google 开发人员文档。

必须创建一个注册配置文件,用户才能可以注册公司拥有的工作配置文件设备。 创建配置文件时,它会提供注册令牌(随机字符串)和 QR 码。 可使用令牌或 QR 码注册专用设备,具体取决于 Android OS 和设备版本。

  1. 登录到Microsoft Intune管理中心
  2. 转到 “设备>注册”。
  3. 选择“ Android ”选项卡。
  4. 转到 “Android 企业>注册配置文件”,然后选择 “具有工作配置文件的公司拥有的设备”。
  5. 选择“ 创建配置文件”。
  6. “基本信息 ”页上,输入配置文件的名称和说明,以便将其与管理中心中的其他配置文件区分开来。 设备用户看不到这些详细信息。
  7. 选择“ 下一步 ”以继续 转到“作用域标记”。
  8. (可选)应用一个或多个范围标记,以限制对 Intune 中的某些管理员用户的可见性和管理。 有关如何使用范围标记的详细信息,请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记
  9. 选择“ 下一步 ”以继续 创建 + 查看
  10. 查看你的选择,然后选择“ 创建 ”以完成配置文件的创建。

访问注册令牌

创建配置文件后,Intune 将生成注册所需的令牌。

  1. 返回到 “设备>注册”,然后选择“Android”选项卡。
  2. “注册配置文件” 部分中,选择 “公司拥有的工作配置文件的设备”。
  3. 从列表中选择注册配置文件。
  4. 选择“令牌”。

另一种查找令牌的方法为:

  1. 在列表中找到你的个人资料,然后选择旁边的“更多 (...)”菜单。
  2. 选择“查看注册令牌”。

令牌显示为八位数的字符串和 QR 码。 使用此令牌根据 Android Enterprise 公司拥有的设备注册文档中所述的注册机制进行注册

撤销或导出令牌

  • 撤销令牌:可立即使令牌/QR 码到期。 从此时起,令牌/QR 码不再可用。 在以下情况下可使用此选项:
    • 意外地与未经授权的一方共享令牌/QR 码
    • 完成所有注册,不再需要令牌/QR 码
  • 导出令牌:可以导出令牌/QR 代码的 JSON 内容。 可以使用此选项轻松粘贴 JSON 内容,以便通过 零接触注册 (ZTE) Knox 移动注册 (KME) 进行注册

撤销或导出令牌/QR 码对已注册的设备没有任何影响。

  1. 在管理中心,转到 “设备>注册”。
  2. 选择“ Android ”选项卡。
  3. “Android 企业>注册配置文件”下,选择 “具有工作配置文件的公司拥有的设备”。
  4. 选择要使用的配置文件。
  5. 选择“令牌”。
  6. 若要撤销令牌,请选择“撤销令牌”>“是”
  7. 若要导出令牌,请选择“ 导出令牌”。

创建设备组

可将应用和策略定位到已分配或动态设备组。 可以按照以下步骤配置动态Microsoft Entra设备组,以自动填充使用特定注册配置文件注册的设备:

  1. 登录到Microsoft Intune管理中心
  2. 转到 “组>”“所有组>”“新建组”。
  3. 按如下所示填写必填字段:
    • 组类型:安全性
    • 组名称:键入直观的名称,如 工厂 1 设备
    • 成员身份类型:动态设备
  4. 选择"添加动态查询"。
  5. 对于 “动态成员身份规则”,请填写字段,如下所示:
    • 添加动态成员身份规则:简单规则
    • 添加设备位置:enrollmentProfileName
    • 在中间的框中,选择“等于”
    • 在最后一个字段中,输入之前创建的注册配置文件名称。 有关动态成员身份规则的详细信息,请参阅 Microsoft Entra ID 中组的动态成员身份规则
  6. 选择“添加查询”>“创建”。

注册公司拥有的工作配置文件设备

用户现在可以注册其公司拥有的工作配置文件设备

注意

Microsoft Intune应用在注册过程中自动安装。 此应用是注册所必需的,无法卸载。 如果将Intune 公司门户应用部署到设备,并且用户尝试启动应用,则会将其重定向到Microsoft Intune应用,并且公司门户应用图标将被隐藏。

在 Android Enterprise 公司拥有的工作配置文件设备上管理应用

应用从托管 Google Play 商店安装的方式与 Android Enterprise 个人拥有的工作配置文件设备相同。

当应用开发人员向 Google Play 发布更新时,托管设备上的应用会自动更新。

若要从 Android Enterprise 公司拥有的工作配置文件设备中删除应用,可以:

  • 删除所需的应用部署。
  • 创建应用的卸载部署。

后续步骤